智慧城市牢不可破？IBM揭露智慧城市系統的17個安全漏洞

隨著全球各大城市皆已悄悄地展開智慧城市（Smart City）部署，IBM X-Force Red團隊與資安業者Threatca攜手檢視智慧城市所使用的主要系統，發現了17個安全漏洞，將允許駭客操縱警報系統、竄改感應器數據，造成民眾的恐慌或城市的混亂，並於本周舉行的黑帽（Black Hat）駭客大會上公布。

IBM X-Force Red研究總監Daniel Crowley表示，他們是在今年初開始測試智慧城市所使用的Libelium、Echelon與Battelle系統，當中的Libelium是個無線感應器網路的硬體製造商，Echelon則專門銷售工業物聯網裝置與嵌入式應用，也生產連網照明控制器，Battelle則為專門開發與商業化各種技術的非營利單位。

研究人員主要查訪的是有關智慧交通系統、災難管理，以及工業物聯網的裝置，這些裝置是透過Wi-Fi、4G、ZigBee或其它通訊協定連網。

在找到這些裝置或服務的漏洞之後，研究人員還在公開網路上發現數百個含有漏洞的裝置，有些歐洲國家利用這些裝置來偵測輻射，美國城市則使用它們來監控交通。

這17個安全漏洞涉及採用預設密碼、可繞過身分驗證機制，以及資料隱碼等，當中有8個被列為重大（Critical）漏洞，透露出就算是最為現代化的智慧城市，卻仍舊曝露在老派的安全威脅中。

Crowley指出，這些漏洞將允許駭客擺布水位感應器，以觸發錯誤的洪水警報，或是避免觸發洪水警報，同樣地，駭客也能操縱核電廠附近的輻射感應器，或者是藉由對交通系統、建築物警報系統或緊急警報系統的控制來製造混亂，在在都顯示出缺乏安全的智慧城市將可能帶來更多的恐慌或造成實際傷害。

根據估計，智慧城市的技術支出將從今年的800億美元成長到2021年的1,350億美元，隨著智慧城市愈來愈普及，Crowley提醒產業應以安全為出發點，重新檢驗這些系統的框架，也建議有意導入智慧城市的首長應限制連結智慧系統的IP位址，掃描這些系統的缺陷，採用更安全的密碼與API金鑰，或是聘請白帽駭客來測試軟、硬體的安全性。

目前不論是生產相關裝置的業者或是部署這些裝置的城市都已修補了IBM所提出的漏洞。